Safari 9 のセキュリティコンテンツについて

この記事では、Safari 9 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Safari 9

  • Safari

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

    説明:ユーザインターフェイスに複数の不整合があり、悪意のある Web サイトがこれを悪用し、任意の URL を表示できる可能性がありました。この問題は、URL の表示ロジックを改善することで解決されました。

    CVE-ID

    CVE-2015-5764:Adobe の Antonio Sanso 氏 (@asanso)

    CVE-2015-5765:Ron Masas 氏

    CVE-2015-5767:Krystian Kloskowski 氏 (Secunia 経由)、Masato Kinugawa 氏

  • Safari のダウンロード

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:LaunchServices の隔離履歴から閲覧履歴が漏洩する可能性がある。

    説明:LaunchServices の隔離履歴にアクセスすると、ダウンロードされたファイルに基づいて閲覧履歴が漏洩する可能性があります。この問題は、隔離履歴の削除処理を改善することで解決されました。

  • Safari 機能拡張

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:Safari 機能拡張とコンパニオンアプリケーションの間のローカル通信のセキュリティが損なわれる可能性がある。

    説明:Safari 機能拡張間 (たとえば、パスワードマネージャとそのネイティブのコンパニオンアプリケーションとの間) のローカル接続のセキュリティが、別のネイティブアプリケーションによって損なわれる可能性があります。この問題は、Safari 機能拡張とコンパニオンアプリケーションとの間に新たに認証済みの通信チャンネルを設けることで解決されました。

  • Safari 機能拡張

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:Safari 機能拡張がディスク上で置換される可能性がある。

    説明:ユーザがインストールした検証済みの Safari 機能拡張が、ユーザに通知されることなくディスク上で置換される可能性がありました。この問題は、機能拡張の検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5780:macmule.com の Ben Toms 氏

  • Safari Safe Browsing

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:悪意のある Web サイトであることが判明しているサイトの IP アドレスにアクセスしても、セキュリティ警告が表示されないことがある。

    説明:Safari の Safe Browsing 機能が、悪意のある Web サイトであることが判明しているサイトの IP アドレスにアクセスしたときに、ユーザに警告を発しませんでした。この問題は、悪意のあるサイトの検出を強化することで解決されました。

    TagsDock の Rahul M 氏 (@rahulmfg)

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:部分的に読み込まれた画像から、データをクロスオリジンで取得される可能性がある。

    説明:画像のオリジンの検証に、競合状態の脆弱性が存在します。この問題は、リソースオリジンの検証を強化することで解決されました。

    CVE-ID

    CVE-2015-5788:Apple

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-5789:Apple

    CVE-2015-5790:Apple

    CVE-2015-5791:Apple

    CVE-2015-5792:Apple

    CVE-2015-5793:Apple

    CVE-2015-5794:Apple

    CVE-2015-5795:Apple

    CVE-2015-5796:Apple

    CVE-2015-5797:Apple

    CVE-2015-5798:Apple

    CVE-2015-5799:Apple

    CVE-2015-5800:Apple

    CVE-2015-5801:Apple

    CVE-2015-5802:Apple

    CVE-2015-5803:Apple

    CVE-2015-5804:Apple

    CVE-2015-5805

    CVE-2015-5806:Apple

    CVE-2015-5807:Apple

    CVE-2015-5808:Joe Vennix 氏

    CVE-2015-5809:Apple

    CVE-2015-5810:Apple

    CVE-2015-5811:Apple

    CVE-2015-5812:Apple

    CVE-2015-5813:Apple

    CVE-2015-5814:Apple

    CVE-2015-5815:Apple

    CVE-2015-5816:Apple

    CVE-2015-5817:Apple

    CVE-2015-5818:Apple

    CVE-2015-5819:Apple

    CVE-2015-5821:Apple

    CVE-2015-5822:Google の Mark S. Miller 氏

    CVE-2015-5823:Apple

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:攻撃者により、Web サイトに対して意図しない Cookie を作成される可能性がある。

    説明:WebKit が、document.cookie API への複数の Cookie の設定を許容していました。この問題は、解析を強化することで解決されました。

    CVE-ID

    CVE-2015-3801:Facebook の Erling Ellingsen 氏

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:Performance API が悪意のある Web サイトに悪用され、閲覧履歴、ネットワークアクティビティ、およびマウスの動きが漏洩する可能性がある。

    説明:WebKit の Performance API は、悪意のある Web サイトに悪用され、時間の計測時に閲覧履歴、ネットワークアクティビティ、およびマウスの動きを漏洩する可能性があります。この問題は、時間解決を制限することで解決されました。

    CVE-ID

    CVE-2015-5825:コロンビア大学の Network Security Lab の Yossi Oren 氏ほか

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:悪意のある Web サイトにアクセスすると、意図しないダイヤル操作を誘発される可能性がある。

    説明:tel://、facetime://、および facetime-audio:// の URL の処理に脆弱性が存在します。この問題は URL 処理を改善することで解決されました。

    CVE-ID

    CVE-2015-5820:Guillaume Ross 氏、Andrei Neculaesei 氏

  • WebKit CSS

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:悪意のある Web サイトに、データをクロスオリジンで取得される可能性がある。

    説明:Safari が、CSS MIME タイプが指定されていないクロスオリジンのスタイルシートの読み込みを許容していたため、これを悪用され、データをクロスオリジンで取得される可能性があります。この問題は、クロスオリジンのスタイルシートの MIME タイプを制限することで解決されました。

    CVE-ID

    CVE-2015-5826:filedescriptior、Chris Evans 氏

  • WebKit JavaScript バインディング

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:カスタムイベント、メッセージイベント、pop ステートイベントの分離したオリジン間で、オブジェクト参照が漏洩する可能性がある。

    説明:オブジェクト漏洩の脆弱性があり、オリジン間の分離境界が破られていました。この問題は、オリジン間の分離を強化することで解決されました。

    CVE-ID

    CVE-2015-5827:Gildas 氏

  • WebKit ページの読み込み

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:WebSocket が、混在コンテンツのポリシーの適用を回避する可能性がある。

    説明:ポリシーの適用不備の脆弱性が存在し、WebSocket が混在コンテンツを読み込むことができました。この問題は、混在コンテンツのポリシーを WebSocket にも拡張適用することで解決されました。

    Higher Logic の Kevin G. Jones 氏

  • WebKit プラグイン

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11

    影響:Safari プラグインが、HTTP リクエストを送信し、そのリクエストがリダイレクトされたことを通知されない場合がある。

    説明:Safari プラグイン API が、サーバサイドリダイレクトが発生したことをプラグインに通知していませんでした。これを不正リクエストに悪用される場合がありました。この問題は、API サポートを強化することで解決されました。

    CVE-ID

    CVE-2015-5828:Lorenzo Fontana 氏

国または地域によっては FaceTime を利用できない場合があります。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: